어느 주말이었다. 구두 매장에서 신발을 고른 후 계산하려는데 매장 컴퓨터에 문제가 있어 잠시 사용할 수 없다는 얘기를 들었다. 기다리며 모니터를 보니 본사에서 원격제어 프로그램으로 매장 컴퓨터의 불필요한 프로그램을 제거하고 있었다. 아마도 매장 직원이 노트북으로 웹 서핑을 하다 불필요한 프로그램을 설치하여 카드 결제 등에 장애가 발생한 걸로 보였다. 게다가 백신 프로그램이 2개나 설치되어 있어 “백신 프로그램을 두 개 이상 사용하면 충돌 가능성이 있어서 안 좋습니다”라고 말해줬지만 “저희가 컴퓨터를 잘 몰라서요”라며 말끝을 흐렸다.
불현듯 불안한 마음이 들었다. 대형마트의 포스 시스템이 해킹당해 고객들의 신용카드 정보가 유출됐다는 기사가 생각났기 때문이다.
구두 매장의 컴퓨터는 이른바 포스 시스템(Point-of-sale system)이었다. 포스 시스템은 판매 관련 데이터를 관리하는 시스템으로 과거에는 전용 시스템을 이용했다. 하지만 지금은 대부분 일반 컴퓨터에 바코드 및 신용카드 리더기와 프로그램을 설치해 사용하고 있다. 또한 인터넷 접속이 가능해 소셜 커머스의 할인 쿠폰 조회 등도 가능해졌다.
이처럼 전용 시스템과 전화선 대신 컴퓨터와 인터넷이 이용되면서 컴퓨터 오류나 인터넷 장애로 결제가 안 되는 등의 문제점이 나타나기 시작했다. 하지만 더 큰 문제는 해킹, 악성코드 감염 등 일반 컴퓨터의 보안 문제가 포스 시스템에도 그대로 적용될 수 있다는 점이다. 특히 포스 시스템에는 신용카드 번호 등이 저장되어 있어 이들 정보가 유출될 경우 카드 복제 등의 2차 피해가 일어날 수 있다.
포스 시스템에서 일어날 수 있는 보안 문제는 다음과 같다.
첫째, 본래의 용도 외에 사용할 때
직원들이 포스 시스템으로 윈도우 업데이트 등을 하지 않은 채 웹 서핑을 할 경우 악성코드에 감염될 가능성이 있다. 특히 P2P 프로그램을 이용하거나 출처가 불분명한 메일의 첨부 파일을 열어 본다면 악성코드 감염의 위험성은 더욱 커진다.
둘째, 포스 시스템 자체 업데이트
포스 시스템의 업데이트를 담당하는 업체의 서버가 해킹당할 경우 시스템 업데이트 악성코드에 감염 될 수 있다.
셋째, 원격 제어 프로그램을 통한 외부 침입
포스 시스템의 장애 처리를 위해 원격 제어 프로그램을 실행할 때 암호 등 별다른 보안 정책을 적용하지 않는다면 외부 공격자의 침입을 받을 수 있다.
그렇다면 이러한 포스 시스템의 보안 위협에 어떻게 대처해야 할까?
먼저 포스 시스템의 개발부터 관리까지 보안에 초점을 맞추어 전방위적인 보안 체계를 갖춰야 한다. 민감 정보를 암호화하고 올바른 백신 프로그램의 설치 및 정기 업데이트의 의무화 등이 그것이다. 또한 포스 시스템을 업무 외 목적으로 사용하는 것의 위험성에 대한 교육이 필요하다. 이를 위해서는 정부, 카드사, 개발 업체, 사용자 모두의 노력이 필요하다. 미국은 포스 시스템 해킹으로 인한 대형 신용카드 정보 유출 사건이 일어난 후 관련 규정을 제정하고 관리 기구를 설립하는 등 발 빠른 대응을 보여주었다.
안랩의 트러스라인(TrusLine)과 같은 화이트리스트 방식의 백신 프로그램을 설치하는 것도 또 하나의 방법이다. 트러스라인은 관리자가 설정한 프로그램만 실행 가능하도록 하는 화이트리스트 방식을 적용해 불필요한 프로그램의 작동이나 악성코드의 침입 등으로 시스템의 운영에 차질이 생기지 않도록 해주는 보안 솔루션이다.
신용카드가 만들어내는 소비의 마법은 어느새 우리들의 생활 깊숙이 들어왔다. 하지만 불안감 또한 크다. 과연 우리의 신용카드 정보는 안전할걸까?@ |